数据包内容解析 wireshark数据包分析实战pdf( 三 )

筛选12345端口和80端口之间的数据包—-tcp.port == 12345 && tcp.port == 80
筛选从12345端口到80端口的数据包—-tcp.srcport == 12345 && tcp.dstport == 80
应用层：
特别说明：http中http.request表示请求头中的第一行（如GET index.jsp HTTP/1.1），http.response表示响应头中的第一行（如HTTP/1.1 200 OK），其他头部都用http.header_name形式。
筛选url中包含.php的http数据包—-http.request.uri contains “.php”
筛选内容包含username的http数据包—-http contains “username”
tshark命令行工具
tshark的 – 转储和分析网络流量
概要
tshark的 [ -2 ] [ -a <捕捉自动停止条件>] … [ -b <捕捉环形缓冲区选项>] … [ -B <捕获缓冲区大小>] [ -c <捕获分组计数>] [ – ? <配置文件>] [ -d <层型> == <选择>，<译码作为协议>] [ -D ] [ -e <字段>] [ -E <现场打印选项>] [ -f <捕获筛选>] [ -F <文件格式>] [ -g ] [ -h ] [ -H <输入hosts文件>] [ -i <采集界面> | – ] [ -I ] [ -K <密钥表>] [ -l ] [ -L ] [ -n ] [ -N <名称解析标志>] [ -o <偏好设置>] … [ -O <协议>] [ -p ] [ -P ] [ -q ] [ -Q ] [ -r ] [ -R <读过滤>] [ -s <捕获的Snaplen>] [ -S <分隔符>] [ -t 一个|广告| adoy | D | DD | E | – [R | U | UD | udoy] [ -T 领域| PDML | PS | PSML |文] [ -u <秒类型>] [ -v ] [ -V ] [ -w | – ] [ -W <文件格式选项>] [ -x ] [ -X <分机选项>] [ -y <捕获链接类型>] [ -Y <显示过滤>] [ -z <统计>] [ –capture注释 <评论> ] [<捕获筛选>]
tshark -G [column-formats|currentprefs|decodes|defaultprefs|fields|ftypes|heuristic-decodes|plugins|protocols|values]
选项(概要)
如要查询更详细的选项解析可参考链接
-a <捕捉自动停止条件>
设置一个标准，指定当tshark的是停止写入捕捉文件。标准是的形式测试：值，其中测试是下列之一：
持续时间：值停止写入捕捉文件后价值秒钟过去了。
作品尺寸：值停止写入捕捉文件后，它达到的大小值 KB 。如果此选项与-b选项一起使用，tshark的将停止写入当前捕捉文件，并切换到下一个，如果文件大小达到。当读取捕获文件，tshark的将停止读取文件之后读取的字节数超过此数值（完整数据包将被读取，所以比这个数目更多的字节可被读取）。注意，文件大小限制为2吉布最大值。
文件：值停止写入捕捉文件后，值被写入文件的数量。
-c <捕获的数据包数>
设置数据包捕获实时数据时，读取的最大数量。如果读一个捕获文件，设置数据包要读取的最大数量。
-D
打印接口上的列表tshark的可以捕捉，并退出。每个网络接口，一个数字和一个接口名，可能紧跟在界面的文本描述，被打印。接口名称或数量可以提供给-i选项指定要在其上捕捉的接口。
这可以在不具有命令列出它们（例如，Windows系统或UNIX系统缺乏系统是有用的ifconfig -a）; 数量可在Windows 2000和更高版本的系统，其中接口名称是一个比较复杂的字符串是有用的。
需要注意的是“可以捕获”是指tshark的是能够打开设备进行实时捕捉。根据您的系统，你可能需要从具有特殊权限的帐户下运行tshark的（例如，作为root）才能够捕获网络流量。如果tshark的-D不是从这样的帐户下运行，它不会显示任何接口。
-e <现场>
添加一个字段，字段列表显示，如果-T领域被选中。这个选项可以在命令行上多次使用。如果该至少一个字段必须提供-T字段选项被选中。列名可以使用前缀“_ws.col 。”

以上关于本文的内容，仅作参考！温馨提示：如遇健康、疾病相关的问题，请您及时就医或请专业人士给予相关指导!

「四川龙网」www.sichuanlong.com小编还为您精选了以下内容，希望对您有所帮助：